Dynamic Code Evaluation: Code Injection

La interpretación de las instrucciones controladas por el usuario en tiempo de ejecución puede permitir a los usuarios malintencionados ejecutar código malintencionado.

Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.

Ejemplo: en este ejemplo de inyección de código clásico, el informe implementa una calculadora básica que permite al usuario especificar los comandos para la ejecución.

...
user_ops = request->get_form_field( 'operation' ).
CONCATENATE: 'PROGRAM zsample.| FORM calculation. |' INTO code_string,
             calculator_code_begin user_ops calculator_code_end INTO code_string,
			 'ENDFORM.|' INTO code_string.
SPLIT code_string AT '|' INTO TABLE code_table.
GENERATE SUBROUTINE POOL code_table NAME calc_prog.
PERFORM calculation IN PROGRAM calc_prog.
...

El programa se comporta bien cuando el parámetro operation es un valor benigno. Sin embargo, si el atacante especifica operaciones de idioma que son válidas y maliciosas al mismo tiempo, dichas operaciones se ejecutarán con todos los privilegios del proceso primario. Estos ataques llegan a ser más peligrosos cuando el código que se inyecta accede a recursos del sistema o ejecuta comandos del sistema. Por ejemplo, si un usuario malintencionado especifica "MOVE 'shutdown -h now' to cmd. CALL 'SYSTEM' ID 'COMMAND' FIELD cmd ID 'TAB' FIELD TABL[]." como valor de operation, se ejecutaría un comando de apagado en el sistema host.

La interpretación de las instrucciones controladas por el usuario en tiempo de ejecución puede permitir a los usuarios malintencionados ejecutar código malintencionado.

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad permite a los programadores realizar instrucciones dinámicas basadas en la entrada recibida del usuario. Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.

Ejemplo: en este ejemplo de inyección de código clásico, la aplicación implementa un calculador básico que permite al usuario especificar los comandos para la ejecución.

...
        var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
        var userOps:String = String(params["operation"]);
        result = ExternalInterface.call("eval", userOps);
...

El programa se comporta correctamente cuando el parámetro operation es un valor benigno, como "8 + 7 * 2", en cuyo caso, a la variable result se le asigna un valor de 22. Sin embargo, si un usuario malintencionado especifica operaciones de lenguaje que son válidas y malintencionadas, dichas operaciones deberían ejecutarse con todos los privilegios del proceso principal. Estos ataques son incluso más peligrosos cuando el lenguaje subyacente proporciona acceso a los recursos del sistema o permite la ejecución de comandos del sistema. En el caso de ActionScript, el atacante podría utilizar esta vulnerabilidad para ejecutar un ataque XSS (Cross-Site Scripting).

La interpretación de las instrucciones controladas por el usuario en tiempo de ejecución puede permitir a los usuarios malintencionados ejecutar código malintencionado.

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad permite a los programadores realizar instrucciones dinámicas basadas en la entrada recibida del usuario. Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.

Ejemplo: en este ejemplo de inyección de código clásico, la aplicación implementa una calculadora básica que permite al usuario especificar los comandos para la ejecución.

...
    public static object CEval(string sCSCode)
    {
        CodeDomProvider icc = CodeDomProvider.CreateProvider("CSharp"); 
        CompilerParameters cparam = new CompilerParameters();
        cparam.ReferencedAssemblies.Add("system.dll");
        cparam.CompilerOptions = "/t:library";
        cparam.GenerateInMemory = true;

        StringBuilder sb_code = new StringBuilder("");
        sb_code.Append("using System;\n");
        sb_code.Append("namespace Fortify_CodeEval{ \n");
        sb_code.Append("public class FortifyCodeEval{ \n");
        sb_code.Append("public object EvalCode(){\n");
        sb_code.Append(sCSCode + "\n");
        sb_code.Append("} \n");
        sb_code.Append("} \n");
        sb_code.Append("}\n");

        CompilerResults cr = icc.CompileAssemblyFromSource(cparam, sb_code.ToString());
        if (cr.Errors.Count > 0)
        {
            logger.WriteLine("ERROR: " + cr.Errors[0].ErrorText);
            return null;
        }

        System.Reflection.Assembly a = cr.CompiledAssembly;
        object o = a.CreateInstance("Fortify_CodeEval.FortifyCodeEval");

        Type t = o.GetType();
        MethodInfo mi = t.GetMethod("EvalCode");

        object s = mi.Invoke(o, null);
        return s;
    }
...

El programa se comporta correctamente cuando el parámetro sCSCode es un valor benigno, como "return 8 + 7 * 2", en cuyo caso 22 es el valor de devolución de la función CEval. Sin embargo, si el atacante especifica operaciones de idioma que son válidas y maliciosas al mismo tiempo, dichas operaciones se ejecutarán con todos los privilegios del proceso primario. Estos ataques son incluso más peligrosos cuando el lenguaje subyacente proporciona acceso a los recursos del sistema o permite la ejecución de comandos del sistema. Por ejemplo, .Net permite invocar las API de Windows. Si un atacante especifica "return System.Diagnostics.Process.Start(\"shutdown\", \"/s /t 0\");" como el valor de operation, se ejecutará un comando de apagado en el sistema host.

La interpretación de las instrucciones controladas por el usuario en tiempo de ejecución puede permitir a los usuarios malintencionados ejecutar código malintencionado.

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad permite a los programadores realizar instrucciones dinámicas basadas en la entrada recibida del usuario. Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.

Ejemplo: en este ejemplo de inyección de código clásico, la aplicación implementa una calculadora básica que permite al usuario especificar los comandos para la ejecución.

...
	userOp = form.operation.value;
	calcResult = eval(userOp);
...

El programa se comporta correctamente cuando el parámetro operation es un valor benigno, como "8 + 7 * 2", en cuyo caso la variable calcResult se asigna a un valor de 22. No obstante, si un atacante especifica operaciones de idiomas que sean tanto válidas como maliciosas, estas operaciones se ejecutarían con todos los privilegios del proceso primario. Estos ataques son incluso más peligrosos cuando el lenguaje subyacente proporciona acceso a los recursos del sistema o permite la ejecución de comandos del sistema. En el caso de JavaScript, el atacante puede utilizar esta vulnerabilidad para realizar un ataque de secuencias entre sitios.

La interpretación de las instrucciones controladas por el usuario en tiempo de ejecución puede permitir a los usuarios malintencionados ejecutar código malintencionado.

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad permite a los programadores realizar instrucciones dinámicas basadas en la entrada recibida del usuario. Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.

Ejemplo: el siguiente código utiliza la entrada de un UITextField para cambiar dinámicamente el color de fondo del contenido de una WKWebView:

...
@property (strong, nonatomic) WKWebView *webView;
@property (strong, nonatomic) UITextField *inputTextField;
...
[_webView evaluateJavaScript:[NSString stringWithFormat:@"document.body.style.backgroundColor="%@";", _inputTextField.text] completionHandler:nil];
...

El programa se comporta de forma correcta cuando la entrada de UITextField es un valor benigno, como "blue", en cuyo caso el elemento <body> de webView debería tener como estilo un fondo azul. Sin embargo, si un usuario malintencionado proporciona una entrada malintencionada todavía válida, podría ser capaz de ejecutar código JavaScript arbitrario. Por ejemplo, dado que JavaScript puede obtener acceso a determinado tipo de información privada, como las cookies, si un usuario malintencionado especificara "white";document.body.innerHTML=document.cookie;"" como entrada de UITextField, la información de cookie se escribiría en la página de manera visible. Estos ataques son incluso más peligrosos cuando el lenguaje subyacente proporciona acceso a los recursos del sistema o permite la ejecución de comandos del sistema, como cuando el código inyectado se ejecuta con todos los privilegios del proceso primario.

La interpretación de las instrucciones controladas por el usuario en tiempo de ejecución puede permitir a los usuarios malintencionados ejecutar código malintencionado.

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad permite a los programadores realizar instrucciones dinámicas basadas en la entrada recibida del usuario. Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.

Ejemplo: en este ejemplo de inyección de código clásico, la aplicación implementa un calculador básico que permite al usuario especificar los comandos para la ejecución.

...
	$userOps = $_GET['operation'];
	$result = eval($userOps);
...

El programa se comporta correctamente cuando el parámetro operation es un valor benigno, como "8 + 7 * 2", en cuyo caso a la variable result se le asigna un valor de 22. No obstante, si un atacante especifica operaciones de idiomas que sean tanto válidas como maliciosas, estas operaciones se ejecutarían con todos los privilegios del proceso primario. Estos ataques son incluso más peligrosos cuando el lenguaje subyacente proporciona acceso a los recursos del sistema o permite la ejecución de comandos del sistema. Por ejemplo, si un usuario malintencionado especificara "exec('shutdown -h now')" como el valor de operation, se ejecutaría en el sistema host un comando de apagado.

La interpretación de las instrucciones controladas por el usuario en tiempo de ejecución puede permitir a los usuarios malintencionados ejecutar código malintencionado.

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad permite a los programadores realizar instrucciones dinámicas basadas en la entrada recibida del usuario. Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.

Ejemplo: en este ejemplo de inyección de código clásico, la aplicación implementa un calculador básico que permite al usuario especificar los comandos para la ejecución.

...
userOps = request.GET['operation']
result = eval(userOps)
...

El programa se comporta correctamente cuando el parámetro operation es un valor benigno, como "8 + 7 * 2", en cuyo caso a la variable result se le asigna un valor de 22. No obstante, si un atacante especifica operaciones de idiomas que sean tanto válidas como maliciosas, estas operaciones se ejecutarían con todos los privilegios del proceso primario. Estos ataques son incluso más peligrosos cuando el lenguaje subyacente proporciona acceso a los recursos del sistema o permite la ejecución de comandos del sistema. Por ejemplo, si un usuario malintencionado especificara "os.system('shutdown -h now')" como el valor de operation, se ejecutaría en el sistema host un comando de apagado.

La interpretación de las instrucciones controladas por el usuario en tiempo de ejecución puede permitir a los usuarios malintencionados ejecutar código malintencionado.

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad permite a los programadores realizar instrucciones dinámicas basadas en la entrada recibida del usuario. Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.
Ejemplo: en este ejemplo de inyección de código, la aplicación implementa un calculador básico que permite al usuario especificar comandos para ejecutarlos.

...
  user_ops = req['operation']
  result = eval(user_ops)
...

El programa se comporta correctamente cuando el parámetro operation es un valor benigno, como "8 + 7 * 2", en cuyo caso la variable result se asigna a un valor de 22. No obstante, si un atacante especifica operaciones de idiomas que sean tanto válidas como maliciosas, estas operaciones se ejecutarían con todos los privilegios del proceso primario. Estos ataques son incluso más peligrosos cuando el lenguaje subyacente proporciona acceso a los recursos del sistema o permite la ejecución de comandos del sistema. Con Ruby esto se permite y, dado que se pueden ejecutar varios comandos delimitando las líneas con un punto y coma (;), también habilitaría la ejecución de múltiples comandos con una sola inyección, sin romper el programa por ello.
Si un usuario malintencionado enviara para el parámetro operation "system(\"nc -l 4444 &\");8+7*2", se abriría el puerto 4444 para escuchar una conexión en el equipo y seguiría devolviendo el valor de 22 a result

La interpretación de las instrucciones controladas por el usuario en tiempo de ejecución puede permitir a los usuarios malintencionados ejecutar código malintencionado.

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad permite a los programadores realizar instrucciones dinámicas basadas en la entrada recibida del usuario. Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.

Ejemplo: El siguiente código utiliza la entrada de un UITextField para cambiar dinámicamente el color de fondo del contenido de una WKWebView:

...
var webView : WKWebView
var inputTextField : UITextField
...
webView.evaluateJavaScript("document.body.style.backgroundColor="\(inputTextField.text)";" completionHandler:nil)
...

El programa se comporta de forma correcta cuando la entrada de UITextField es un valor benigno, como "blue", en cuyo caso el elemento <body> de webView debería tener como estilo un fondo azul. Sin embargo, si un usuario malintencionado proporciona una entrada malintencionada todavía válida, podría ser capaz de ejecutar código JavaScript arbitrario. Por ejemplo, dado que JavaScript puede obtener acceso a determinado tipo de información privada, como las cookies, si un usuario malintencionado especificara "white";document.body.innerHTML=document.cookie;"" como entrada de UITextField, la información de cookie se escribiría en la página de manera visible. Estos ataques son incluso más peligrosos cuando el lenguaje subyacente proporciona acceso a los recursos del sistema o permite la ejecución de comandos del sistema, como cuando el código inyectado se ejecuta con todos los privilegios del proceso primario.

La ejecución de instrucciones de origen arbitrarias desde una fuente no fiable puede tener como consecuencia la ejecución de código malintencionado.

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad se puede utilizar cuando el programador necesita llevar a cabo las instrucciones que el usuario proporciona en los datos, pero debería utilizar las construcciones de lenguaje subyacente en lugar de implementar código para interpretar la entrada del usuario. Las instrucciones que proporciona el usuario deben ser operaciones sencillas tales como cálculos pequeños en objetos de usuario activo, la modificación del estado de los objetos de usuario, etc. Sin embargo, si un programador no tiene cuidado, un usuario puede especificar operaciones que queden fuera de las intenciones del programador.

Ejemplo: la calculadora es un ejemplo clásico de aplicación que permite al usuario especificar construcciones de programación subyacentes. El siguiente código ASP acepta que las operaciones matemáticas básicas del usuario se calculen y se devuelvan resultados:

...
	strUserOp = Request.Form('operation')
	strResult = Eval(strUserOp)
...

El comportamiento esperado del programa se retiene en un ejemplo donde el parámetro operation es "8 + 7 * 2". La variable strResult devuelve un valor de 22. Sin embargo, si un usuario especifica otras operaciones de lenguaje válidas, esas no solo se ejecutan, sino que lo hacen con todos los privilegios del proceso principal. La ejecución de código arbitraria será más peligrosa cuando el lenguaje subyacente proporcione acceso a los recursos del sistema o permita la ejecución de comandos del sistema. Por ejemplo, si un usuario malintencionado especifica operation como " Shell('C:\WINDOWS\SYSTEM32\TSSHUTDN.EXE 0 /DELAY:0 /POWERDOWN')" se ejecutaría un comando de apagado en el sistema host.